При переносе данных между ПК нельзя допускать, чтобы мобильный накопитель стал средством распространения вредоносных программ. В принципе, возможна передача вирусоподобных программ между компьютерами в процессе обмена данными с помощью носителей на основе флэш-памяти через порты USB. Этим аспектом безопасности необходимо озаботиться в первую очередь.
Защита мобильных накопителей и ПК от вредоносных программ с помощью утилиты USB Disk Security
Для обнаружения вирусов в устройствах USB существует программа USB Disk Security v5.0.0.38, v5.1.0.15 и т. д.
Одновременное наличие многих версий программы может свидетельствовать о том, что процесс разработки еще не завершен. На рисунке представлено основное окно программы после ее установки в среде ОС Windows ХР.
Существует еще одна возможность дополнительного управления обсуждаемой программой, получаемая с помощью воздействия правой кнопкой мыши на символ программы, находящийся в трее рабочего стола. Меню дополнительных опций управления представлено на рисунке.
Работа программы основана на технологии проактивной защиты. Это означает, что используются не сигнатуры вирусов, а поведенческие блокираторы, которые анализируют подозрительное поведение вредоносных программ. В принципе такой способ защиты имеет как достоинства, так и недостатки. Однако следует учитывать, что и другие методы антивирусного контроля не являются идеальными. Любая антивирусная программа характеризуется процентами пропускаемых и отклоняемых вредоносных воздействий. Все дело в практических показателях того или иного антивируса. Однако получить более или менее достоверные значения этих показателей довольно трудно, поскольку требуются длительные и дорогостоящие испытания.
Программа имеет небольшой объем— около одного мегабайта. Работа с программой осуществляется в ручном режиме управления с помощью нескольких кнопок, представленных на рисунке. Набор кнопок изменяется в различных версиях программы, что может свидетельствовать о постоянном совершенствовании продукта.
При использовании опции USBShield (Защита USB) применяется технология проактивной защиты от угроз, распространяющихся через порт USB. Если обнаруживаются вредные (risky) файлы, то они могут быть удалены или помещены в карантин.
Для опции USBScan (Сканирование USB) предусмотрен эвристический анализатор поведения вредоносных данных, которые при этом классифицируются как подозрительные, опасные (risky) или потенциально опасные (suspicious). Обнаруженные опасные (risky) файлы также могут быть удалены или помещены в карантин.
В случае опции MemoryShield (Защита памяти) дается интегральная оценка угроз (threats), обнаруженных в памяти ПК, в том числе с учетом опыта экспертов, и блокируется действие угроз с помощью тех же механизмов (удаление или сохранение в карантине).
Кнопка Quarantine (Карантин) позволяет заблокировать угрозу в карантине в виде зашифрованной записи, которая не приносит вреда компьютеру. В дальнейшем данные, классифицированные как угроза, могут быть восстановлены.
Примечание
Программа с подозрением относится к файлам автозагрузки Autorun.inf и автозапуска Autoexec.bat, что не означает, что пользователь должен немедленно удалять такие файлы или избегать их при программировании.
Каждой из кнопок основного окна программы соответствует свое окно, с помощью которого можно осуществить рассмотренные алгоритмы управления защитой от угроз. Эти окна представлены на рисунках. 
Вид окон может меняться в зависимости от версии программы. На каждом из окон показывается количество обнаруженных угроз, например: 1 threats found (Обнаружена одна угроза) или No threats found (Угрозы не обнаружены). Опции, ранее использованные в окнах, помечаются значком системы безопасности в виде четырехцветного щита.
На рисунке показано вспомогательное окно для опции USBTools (Инструменты для порта USB). В младших версиях программы в этом окне размещались дополнительные кнопки Acquire Immunity (дословно — создать устойчивость, что означало — активировать директорию AUTORUN на диске USB и создать директории AUTORUN.INF на винчестерах, их разделах и дисках USB), Cancel Immunity (дословно — отказаться от устойчивости, что означало— деактивировать AUTORUN дисков USB и удалить директории AUTORUN.INF с винчестеров, их разделов и дисков USB), а также Safely Remove (Безопасное удаление диска USB), что дублирует соответствующий инструмент операционной системы.
Отметим, что указанные директории являются служебными директориями программы USB Disk Security, и поэтому вам не удастся прочитать, что в них записано. Назначение первых двух кнопок поясняется в тексте, показанном слева в окне. В версии программы v5.0.0.38 сами дополнительные кнопки в окне в явном виде не представлены, но их следы имеются и действуют на нижнем обрезе рамки окна. (Вот какие странные вещи наблюдаются в промежуточной версии коммерческой программы!)
Чтобы проникнуться смыслом обсуждаемой программы, необходим перевод справок Immunity и Remove. Эти переводы приведены в таблицах.
Таблица. Перевод справки Immunity
| Текст справки Immunity | Перевод справки Immunity | |
| Acquire Immunity:
То block most of the malicious programs from USB drive, ‘Acquire Immunity’ can disable AUTORUN of USB drive and create directories named AUTORUN.INF on your hard drives and USB drives |
Обеспечение антивирусной защиты
Для блокирования большинства вредоносных программ с приводов USB кнопка «Обеспечение антивирусной защиты» может деактивировать AUTORUN приводов USB и создать директории с именами AUTORUN.INF на винчестерах и приводах USB |
|
| Cancel Immunity:
‘Cancel Immunity’ can enable AUTORUN of USB drive and delete directories AUTORUN.INF on your hard drives and USB drives |
Сброс антивирусной защиты
Кнопка «Сброс антивирусной защиты» может активировать AUTORUN приводов USB и удалить директории AUTORUN.INF на винчестерах и приводах USB |
|
Таблица. Перевод справки Remove
| Текст справки Remove | Перевод справки Remove |
| Problem:
When you want to remove your USB drive, sometimes system give you a message: The device ‘Generic volume’ cannot be stopped right now. Try stopping the device again later |
Проблема
Когда вам необходимо отключить привод USB, система иногда сообщает: «Устройство «Общий том» не может быть остановлено прямо сейчас. Попытайтесь остановить устройство позже» |
| Solution:
1. Exit programs using USB disk (Word, Excel and so on) 2. Press the button ‘Safely Remove’ |
Решение
1. Выйдите из программы, использующей привод USB (Word, Excel и т. д.). 2. Нажмите кнопку Safely Remove (Безопасное удаление) |
Отметим, что в версии программы v5.0.0.38 действие некоторых из рассмотренных кнопок дублируется с помощью дополнительного меню, представленного ранее на рисунке. В частности, на указанном рисунке предусмотрено дублирование кнопок Acquire Immunity и Safely Remove USB Disk. Кроме того, имеется возможность показа общего меню программы Show main window (Показать главное окно), получения новой версии программы через сервис Update now (Обновить сейчас), а также выхода из программы Quit (Выйти).
Результаты анализа безопасности с помощью программы USB Disk Security
Следует отметить, что могут вызвать недоумение результаты анализа безопасности конкретного носителя flash-drive, представленные на рисунках, поскольку программа обнаружила 591 угрозу безопасности, которые отнесены к категории подозрительных (suspicious). Немедленно удалять в карантин такое большое количество файлов рискованно. Вероятно, в данном случае программа перестраховалась (создала ложную тревогу) и тем самым оставила принятие окончательного решения на усмотрение пользователя. Поэтому требуется дополнительная проверка носителя другим надежным антивирусным средством, в качестве которого может быть выбрана программа NOD32.
Дополнительная проверка с помощью антивируса NOD32 и программы Sophos Anti-Rootkit
Запустим антивирус NOD32 и проверим с его помощью носитель типа flash-drive. Результаты тестирования, представленные на рисунке, позволяют сделать вывод об отсутствии угроз (threats) на носителе.
Достаточно ли только такой проверки? Есть мнение, что NOD32 не обнаруживает так называемые руткиты. Это новый вид угроз, при котором вирусоподобный код может прятаться в самых неожиданных местах компьютера. Для борьбы с этими новыми паразитами существует программа Sophos Anti-Rootkit.
Не будет лишним проверить компьютер с помощью такой программы, которая, как можно сделать вывод на основании ее работы, проанализировала в том числе и носитель флэш-памяти (flash-drive). Результаты анализа представлены на рисунке.
Результаты, показанные на рисунке, подтверждают, что никаких руткитов на носителе flash-drive не было обнаружено.
Таким образом, программа USB Disk Security v5.0.0.38 характеризуется низким порогом обнаружения вредоносных кодов и может создавать ложные тревоги. Поэтому при сомнениях в результатах следует использовать альтернативные возможности контроля.